Sì, la perdita di dati può costarti dei soldi!

Privacy, Sicurezza

Abbiamo più volte replicato alle argomentazioni sul fatto che le persone non hanno nulla da nascondere, e che possono ignorare senza problemi le minacce alla privacy su Internet. Questo è un atteggiamento non saggio e qui seguono vari esempi che spiegano perchè.

Abbiamo anche parlato a lungo a proposito di scam online e come evitarli. Una sfida chiave per ogni scammer è farsi percepire come ‘persona fidata’ agli occhi della vittima. Ed è qui che entrano in gioco i tuoi dati. Mikael Albrecht, Security Specialist dei Labs F-Secure, ha scritto tempo fa una storia relativamente a come uno scammer può essere più convincente se conosce i tuoi programmi di viaggio. Vediamo questa volta un caso più legato alle aziende.

Un direttore amministrativo in un’azienda di Ohama, Nebraska, dopo aver ricevuto un’email dal suo CEO che gli chiedeva di fare una serie di trasferimento di soldi in Cina, ha trasferito un totale di $17,2 milioni. Sì, avete indovinato. Il mittente non era il suo CEO ma uno scammer che ha realizzato un buon profitto.

L’ovvia lezione che possiamo trarre è naturalmente che non bisogna fidarsi di un’email. L’email stessa non fornisce alcun tipo di autenticazione del mittente. L’indirizzo del mittente può essere falso. L’autenticazione dell’altra parte deve basarsi sui contenuti dell’email, una firma crittografata o informazioni che solo il mittente può conoscere. E ciò ci porta alla meno ovvia lezione che possiamo imparare qui.

Sembra che lo scammer di Ohama avesse informazioni sulla vittima. Sapeva chi poteva gestire i trasferimenti di soldi. Sapeva anche che il CEO aveva qualche affare in Cina, il che ha fatto credere che quel trasferimento di soldi fosse legittimo. Probabilmente sapeva anche che questa persona non incontrava il CEO personalmente ogni giorno il che avrebbe potuto far fallire lo scam. Parte di queste informazioni sono disponibili pubblicamente, come il nome del CEO. Non sappiamo come lo scammer sia entrato in possesso di tutto il resto, ma è ovvio che ciò lo ha aiutato.

Quindi qui abbiamo un esempio eccellente di come i criminali possono utilizzare minuscoli granelli di informazioni per truffare ingenti somme di denaro. Ma cosa avrebbe dovuto fare di diverso questa azienda di Ohama? Il direttore amministrativo avrebbe dovuto chiamare il CEO per verificare le transazioni. L’azienda avrebbe dovuto analizzare quali informazioni aveva lo scammer, e verificare le policy di sicurezza. E questo è più o meno quello che anche un utente privato dovrebbe fare. Impara a pensare in modo critico quando qualcuno ti approccia attraverso un’email e verifica il mittente se hai dubbi. Proteggi anche i tuoi dati per fare in modo che questi attacchi mirati siano il più difficili possibile per chi li sferra.

Questa azienda alla fine ha licenziato il direttore amministrativo.

E’ stato giusto licenziare il direttore amministrativo? Difficile a dirsi. Parte della responsabilità naturalmente è di chi è stato così ingenuo da credere a un’email. Ma dipende anche dall’azienda che deve avere policy appropriate per validare le richieste di transazioni finanziarie. Il direttore amministrativo ha violato delle regole in vigore in azienda trasferendo quei soldi? Se non è così, anche l’azienda è responsabile.

 

Tratto dall’articolo “Yes, leaking data can cost you money!?” di Mikael Albrecht, Security Specialist dei Labs di F-Secure

Valuta questo articolo

0 voti

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: